Un groupe de hackers revendiquant des liens avec l’Iran affirme avoir entièrement compromis les téléphones de hauts responsables israéliens. Pourtant, selon les enquêteurs, la réalité est plus nuancée : l’incident semble concerner des comptes Telegram plutôt qu’un accès complet aux appareils.
En décembre 2025, le groupe connu sous le nom de Handala a déclaré avoir obtenu un accès total aux mobiles de figures de premier plan. Toutefois, l’analyse menée par des chercheurs en cybersécurité indique que les brèches auraient été limitées à des comptes Telegram, sans preuve d’un contrôle intégral des téléphones.
1) Ce que la fuite Telegram a réellement révélé
Même sans accès complet à un téléphone, prendre le contrôle d’un compte de messagerie utilisé par des responsables peut exposer :
- des échanges sensibles (contenu, contexte, timing),
- un réseau relationnel (contacts, groupes, canaux),
- des indices sur des processus internes (coordination, habitudes, rôles).
L’incident rappelle un point clé : une prise de contrôle de compte sur une plateforme de confiance peut offrir une valeur “renseignement” comparable à des attaques plus sophistiquées basées sur des malwares, surtout lorsque les conversations et médias sont stockés dans le cloud.
Dans ce cas précis, les chercheurs estiment que les données associées à l’un des comptes provenaient de Telegram (et non d’une extraction forensic d’un iPhone). Le groupe a revendiqué l’accès à environ 1 900 conversations, ainsi qu’à des photos, vidéos et listes de contacts. Mais l’analyse suggère que la majorité de ces “conversations” étaient en réalité des fiches de contact vides générées automatiquement lors de la synchronisation Telegram. Seules une quarantaine de conversations contenaient des messages, et un nombre encore plus restreint présentait des échanges substantiels.
Autre indicateur important : les contacts exposés étaient liés à des comptes Telegram actifs, ce qui renforce l’hypothèse d’un accès au compte plutôt qu’un compromis complet de l’appareil.
2) Comment des comptes Telegram peuvent être compromis
Les chercheurs considèrent que Handala aurait pu s’appuyer sur un mix de techniques connues (et malheureusement toujours efficaces) visant l’identité et l’authentification :
- Compromission liée au numéro de téléphone : lorsque l’attaquant parvient à intercepter ou détourner les codes de vérification envoyés par SMS/voix.
- Interception dans l’écosystème télécom : certaines faiblesses d’infrastructure peuvent faciliter l’interception de codes temporaires (notamment quand l’authentification repose sur le SMS).
- Ingénierie sociale / hameçonnage : faux écrans de connexion, usurpation d’identité ou demandes “support” visant à faire divulguer un code.
- Détournement de parcours d’authentification : dans certains scénarios, des codes peuvent être récupérés via des canaux secondaires mal protégés (ex. messagerie vocale avec PIN par défaut).
👉 Point clé “sécurité” : dès qu’un attaquant obtient un code de vérification valide (ou un accès à une session existante), il peut parfois prendre le contrôle du compte — surtout si les protections additionnelles ne sont pas activées.
3) Détournement de session Telegram Desktop : pourquoi c’est critique
Un vecteur particulièrement préoccupant concerne le détournement de session via Telegram Desktop.
Telegram Desktop conserve des données d’authentification actives dans un répertoire (souvent appelé tdata). Si un attaquant met la main sur ces éléments (par exemple via un accès préalable à un poste secondaire, une compromission interne ou un malware sur un appareil non prioritaire), il peut potentiellement restaurer la session sur une autre machine et accéder au compte sans déclencher de nouvelles demandes de code — selon les conditions de session.
Autre facteur aggravant : la “cloud password” (mot de passe cloud / protection additionnelle) est optionnelle et n’est pas toujours activée. Sans cette barrière supplémentaire, la sécurité dépend davantage du canal de réception des codes et du contrôle des sessions.
Enfin, il est utile de rappeler que les chats standard sont généralement stockés en cloud (et ne sont pas tous chiffrés de bout en bout), ce qui peut augmenter le volume de données exposées en cas de prise de contrôle de compte.
4) Réduire les risques : bonnes pratiques de sécurité sur les messageries
Réduire le risque demande une approche combinant identité, gouvernance, détection et hygiène des terminaux.
Renforcer l’authentification
- Activez une protection additionnelle (mot de passe cloud / second facteur quand disponible).
- Limitez la dépendance au SMS/voix pour les profils à risque (cadres, élus, porte-parole, équipes sensibles).
Verrouiller les sessions
- Vérifiez régulièrement la liste des sessions actives et déconnectez celles qui sont inconnues.
- Surveillez les connexions depuis de nouveaux appareils ou localisations inhabituelles.
Sécuriser les appareils “secondaires”
- Beaucoup d’incidents commencent par un poste secondaire (PC perso, ancien laptop, tablette).
- Renforcez la sécurité endpoint : mises à jour, antivirus/EDR, chiffrement disque, verrouillage, contrôle des accès.
Encadrer l’usage des messageries
- Définissez des règles : quels sujets peuvent être abordés sur une messagerie grand public, et quelles communications doivent passer par des canaux plus sécurisés.
- Mettez en place une formation ciblée pour les profils exposés à l’ingénierie sociale.
✅ Objectif : augmenter la résilience et réduire le “blast radius” (l’ampleur des conséquences) en cas d’incident.
5) Hacktivisme politique et plateformes de messagerie : un duo explosif
Handala est apparu fin 2023 et a orienté ses opérations vers des organisations et individus israéliens, en associant ses actions à une communication politique. Après les brèches Telegram, le groupe aurait cherché à mettre en scène les données volées sur des plateformes de diffusion, dans une logique de visibilité et d’impact narratif plutôt que de démonstration purement technique.
Ce point est essentiel : la valeur d’un vol de données ne réside pas uniquement dans le contenu, mais aussi dans sa capacité à :
- influencer la perception,
- intimider des cibles,
- amplifier un récit idéologique,
- créer de l’incertitude opérationnelle.
Plus largement, cet épisode rappelle une réalité persistante : les messageries, outils collaboratifs et services cloud restent des cibles de choix quand les paramètres par défaut, la gestion des sessions et la protection de l’identité ne sont pas suffisamment renforcés.
FAQ
Le piratage concernait-il vraiment des téléphones entiers ?
Selon l’analyse, les éléments disponibles pointent davantage vers une prise de contrôle de comptes Telegram qu’un contrôle total des appareils.
Pourquoi une prise de contrôle Telegram est-elle si grave ?
Parce qu’elle peut révéler contacts, échanges, pièces jointes, habitudes et contexte opérationnel — parfois autant qu’une compromission d’appareil.
Quelle est la meilleure protection sur Telegram ?
Activer une protection additionnelle (mot de passe cloud), surveiller les sessions actives, et limiter l’usage du SMS/voix pour l’authentification chez les profils à risque.
Telegram chiffre-t-il tout de bout en bout ?
Non : le chiffrement de bout en bout dépend du type de conversation. Les échanges “cloud” peuvent exposer davantage de données en cas de compromission de compte.
